パスワードが漏れても安心? 誰でもわかるイラストで理解する2段階認証の仕組み

写真拡大 (全6枚)

最近、「2段階認証」という仕組みが注目されている。GoogleやFacebookにも採用され、セキュリティ強化のために利用が推奨されている。しかし、「2段階認証」によって何がどう強化されるのか? いまひとつピンと来ない方も多いのではないだろうか。そこで、今回は、Googleを例に「2段階認証」の仕組みを説明する。他のサービスの場合も、基本的な仕組みは同じだ。

●IDとパスワードだけではパスワードが漏れたらアウト
GoogleやFacebook、Evernoteなど、多くの企業は、自社サービスに「2段階認証」という仕組みを採用している。目的はただ1つ、セキュリティ強化だ。

現在、多くのネットサービスは、「ID」と「パスワード」でログインして利用する。「ID」は公開された情報で、ユーザーが設定した名前やメールアドレスが使われることが多い。もう1つの「パスワード」は非公開情報で、ユーザーしか知らない情報だ。したがって、AさんがIDとパスワードを入力したら、サービス側は、そのIDとパスワートの組み合わせが正しいことをもってAさんだと判断し、Aさんのログインを許可する。


【図1】正しいユーザー名とパスワードが入力されたので、ログインを許可する


もしも、Aさんのパスワードが盗まれたら、サービス側はなすすべがない。Aさんを特定する情報はパスワードだけだからだ。攻撃者がAさんと同じID、パスワードでログインしてきたら、サービス側は、アクセスしてきたのがAさんだと判断してログインを許可する。


【図2】正しいユーザー名とパスワードが入力されたので、相手が攻撃者であってもログインを許可する


●2段階認証の設定はワンタイムパスワードを1回入力するだけ
こうした事態を防ぐのが2段階認証だ。2段階認証を利用するには、最初に一回だけ設定作業が必要になる。図3がその流れだ。これは、パソコンでGoogleを利用しているケースを仮定している。


【図3】

1.2段階認証を有効にすると、自分の携帯電話に一回だけ使えるパスワード(ワンタイムパスワード)が送られてくる。受信方法は、キャリアメールまたは電話番号だけで受信できるSMSなどが利用できる。
2.送られてきたパスワードを確認する。
3.パソコンのブラウザでGoogleを表示し、確認したワンタイムパスワードを入力する。

これで、そのパソコンがGoogle側に登録され、以降は、通常のIDとパスワードだけでログインできるようになる。同じパソコンからアクセスするかぎり、再び同じ作業をする必要はないので、使い方もこれまでとまったく変わらない。

●別の端末からログインした場合はどうなる?
次にAさんが、別のパソコンでGoogleにログインするケースを考えてみよう。この場合、先ほどとは異なるパソコンなので、2段階認証のプロセスが走る(図4)。


【図4】

1.いつものPCからのアクセスではないので、Aさんの携帯電話にワンタイムパスワードが送られる。
2.Aさんは携帯電話でパスワードを確認する。
3.パソコンのブラウザでGoogleを表示して、確認したワンタイムパスワードを入力する。

これで、そのパソコンもGoogle側に登録され、以降は、通常のIDとパスワードだけでログインできるようになる。

パスワードが盗まれてもログインされない仕組み
さて、ここでAさんのGoogleのパスワードが漏れたとしよう。Aさんのパスワードを盗んだ攻撃者は、AさんのIDとパスワードを使い、Googleにログインを試みる。攻撃者の端末は、Aさんのものとは異なっているはずだから、ここでも2段階認証のプロセスが走る(図5)。


【図5】

1.いつものPCからのアクセスではないので、Aさんの携帯電話にワンタイムパスワードが送られる。
2.Aさんの携帯電話にはパスワードが届くが、攻撃者はAさんの携帯電話を持っていないので、パスワードを確認できない。このため、Googleにログインすることができない。

これが、2段階認証によってセキュリティが強化される仕組みだ。Aさんは、覚えのないワンタイムパスワードが届いた時点で、不審なアクセスがあったこともわかる。

なお、この場合、Aさんは漏れたパスワードをすぐに変更した方がいい。2段階認証でパスワードが漏れても大丈夫だからといって、漏れた可能性のあるパスワードをそのままにしておくのは、非常に危険だからだ。

●課題はあるが、利用あると安心な2段階認証
2段階認証では、はじめて利用する端末でワンタイムパスワードを入力する必要があるため、その手間はどうしてもかかってしまう。

また、別の問題もある。アプリによっては、2段階認証に対応していない場合があることだ。たとえば、Windowsストアアプリのメールは、2段階認証を有効にしたGmailを受信できない。ワンタイムパスワードを入力する機能がないからだ。このため、Google側で固有のパスワードを生成し、そのパスワードを入力して、アプリそのものをGoogleに登録する必要がある。Googleカレンダーと同期するスマホ用アプリにも、同じ対応が必要なものがある。

もう1つ注意したいのは、スマートフォンで各種サービスを利用し、同じスマートフォンでワンタイムパスワードを受け取る場合だ。この場合、スマートフォンが盗難に遭うと、2段階認証は役に立たない。盗んだ人物の手元にあるスマートフォンにワンタイムパスワードが届いてしまうからだ。

このように、課題はあるものの、2段階認証がセキュリティを強化してくれるのは確かだ。万が一、パスワードが漏れても、不正なログインを防ぐことができる。利用しているサービスが2段階認証に対応しているなら、ぜひ利用したい。


井上健語(フリーランスライター)